2023年度数据泄露调查报告

DBIR 2023年数据泄露调查报告 关于封面 封面上的放大镜旨在直观地传达团队为将我们的精力和资源更多地集中在我们的核心违规数据集上所做的努力。放大的图表 只是我们的数据集中的违规数量的累积计数 ，因为自我们的第一份报告以来已经过去了几年。长期读者可能会注意到事件记录和事件共享词汇(VERIS)框架商标蜂窝，它旨在传达4A(Actor、Action、Asset、Attribute)和他们的各种枚举。 30K 20K 10K 2005201020152020 目录 1 2 结果与分析 导言11 导言22 导言49 服务53 服务54 采矿、采石和 石油和天然气开采+公用事业59 专业、科学技术服务61 小和 mediumbusiness65 7 附录B：VERIS映射 至MITREATT&CK®83 附录C：VTRAC20年期回顾84 Introduction70 有用的定义和图表指导 您好，欢迎初次阅读！在您开始阅读2023年数据泄露调查报告（DBIR）之前，最好先看看本节的内容。（对于那些熟悉报告的人，请随时跳到引言。）我们做这份报告已经有一段时间了，我们很感激我们使用的措辞有时会有点迟钝。我们使用非常刻意的命名约定，术语和定义，并花费大量时间确保我们在整个报告中保持一致。希望本节将有助于使所有这些更熟悉。 VERIS框架资源 术语“威胁行动”、“威胁行为者”和“品种”将经常被引用。这些是事件记录和事件共享词汇(VERIS) 的一部分，该框架旨在允许一致、明确地收集安全事件细节。以下是它们的解释方式: 威胁演员：事件背后的人是谁？这可能是发起网络钓鱼活动的外部“坏人”，也可能是将敏感文件留在座椅靠背口袋中的员工。 威胁行动：使用了哪些策略（操作）来影响资产？VERIS使用威胁操作的七个主要类别：恶意软件，黑客，社交，滥用，物理，错误和环境。高层示例包括黑客入侵服务器，安装恶意软件或通过社交攻击影响人类行为。 品种:更具体地列举更高级别的类别-例如，将外部“坏人”归类为有组织犯罪集团1或将黑客行为记录为SQL注入或暴力。 事件与违约 我们谈论了很多关于事件和违规行为，我们使用以下定义： 突发事件:危害信息资产的完整性、保密性或可用性的安全事件。 违约:导致数据被确认披露的事件-不仅仅是潜在的暴露- 例如，分布式拒绝服务(DDoS)攻击通常是事件，而不是 一个漏洞，因为没有数据被泄露。这并没有减轻它的严重性。 行业标签 我们与北美行业分类系统（NAICS）标准保持一致，以在我们的语料库中对受害组织进行分类 。该标准使用二至六位代码对企业和组织进行分类。我们的分析通常是在两位数的水平上进行的 ，我们将指定NAICS代码以及行业标签。例如,具有标签Fiacial(52)的图表不指示52作为值。“52”是金融和保险业的NAICS代码。 使用“金融”的整体标签 Forbrevitywithinthefigures.Detailed 了解更多在这里： •https://github.com/vz-risk/dbir/tree/gh-pages/2023-包括DBIR事实，数字和数字数据 •https://verisframework.org-功能信息的框架与示例和枚举列表 •https://github.com/vz-risk/veris-功能信息的框架与示例和枚举列表 有关代码和分类系统的信息可在此处获得： https://www.census.gov/naics/?58967?yearbck=2012 1通过有组织的犯罪集团，我们指的是一个以谋生为生的团体，并且有一个他们反复使用的固定过程，而不是TonySoprano和他的快乐男人乐队。 对不起，这一切是什么时候发生的？ 虽然我们一直在方法论部分中列出以下事实（因为这是此类信息所属的地方），但我们决定在这里也提及它，以使那些没有进入报告那么远的人受益。每年，范围内事件的DBIR时间表都是从11月开始的 1从一个日历年到下一个日历年的10月31日 。因此，本报告中描述的事件发生在2021年 11月1日至10月之间 31,2022.2022年的案件量是2023年报告 的主要分析重点，但整个数据范围都被引用，特别是在 趋势图。本报告的发布日期和发布日期之间的时间用于获取 来自我们全球贡献者的数据，匿名化和聚合这些数据，分析数据集，最后创建图形并编写报告。罗马不是一天建成的，DBIR也不是 。 对我们的数据充满信心 从2019年开始，以倾斜的条形图开始，DBIR试图指出，关于信息安全的唯一确定的事情是没有什么是确定的。即使我们拥有所有数据，我们也永远不会绝对确定地知道任何事情 。但是，而不是举起手来抱怨它不可能测量任何东西 数据贫乏的环境，或者更糟 然而，只是简单的编造，我们开始工作。今年 ，您将继续看到整个报告数字中代表不确定性的团队。 TheexamplesshowninFigures1,2,3and4allconveytherangeofrealitiesthatcouldcrediblybetrue.Whether 柱状图的斜度、意大利面的线条、点状图的点状或象形图的颜色,都以各自独特的方式传达着我们行业的不确定性。 与倾斜条形图非常相似，意大利面条图代表了相同的概念：置信区间内存在的可能值；但是，由于我们增加了时间元素，因此涉及的更多。各个线程表示每个观察值的置信区间内存在的点之间的所有可能连接的样本。如您所见 ，一些线程比其他线程更松散，表明内部置信度更宽，样本量更小。 图1.倾斜条形图示例 (n=205) 倾斜的条形图将为读者所熟悉。条形图上的斜度表示该数据点的不确定性达到95％的置信水平（这是统计测试的标准）。 通俗地说，如果两个（或更多）条的倾斜区域重叠，则在不激怒数学神的情况下，您不能真正说一个比另一个大。 图2.意大利面图表示例 点阵图是另一个回归的冠军，理解这张图表的诀窍是记住点代表组织。 例如，如果有200个点（如图3所示），则每个点代表组织的0.5％。这是理解组织之间如何分布的更好方法 并提供了比平均值或中位数更多的信息。我们为这些添加了更多的颜色和标注，以使它们更具信息性。 象形图，我们的相对新手，试图以类似于倾斜条形图的方式捕捉不确定性，但更适合于单一比例。 我们希望他们能让您在这个复杂的数据集中的旅程比往年更加顺畅。 图3.示例点图(n=672)。每个点代表组织的0.5%。橙色:80%的下半部分。黄色: 信贷到期的信贷 事实证明，人们喜欢引用这份报告 ，我们经常被问到他们应该如何去做 。 您可以在报告中包括统计数据、数字和其他信息，前提是(a)您引用来源为“Verizon2023数据泄露调查报告”，并且(b)内容没有任何修改。允许精确引用，但释义需要审查。如果您想向人们提供报告的副本，我们要求 你给他们提供一个链接 verizon.com/dbir，而不是PDF的副本。 80%的上半部分。 绿色:80%-95%。蓝色:异常值。95%的 组织:148-1,594,648。 80%:1,274–438,499. 问题？评论？组织银行挤兑 ？ 让我们知道！在dbir@verizon.com给我们一条线， 在LinkedIn上找到我们，用#dbir发推文@VerizonBusiness。有数据问题吗 ？ Tweet@VZDBIR! 如果您有兴趣成为贡献者 一年一度的VerizonDBIR(我们希望你是)， 这个过程非常简单直接。请给我们发电子邮件 中位数：29,774（对数标度）。 图4.示例象形图(n=4,110)。每个字形代表40个缺口。 Introduction “成功是从失败到失败的绊脚石，没有失去热情。 -归因于温斯顿·丘吉尔爵士 大家好，欢迎老朋友和新读者参加2023年Verizon数据泄露调查报告！我们很高兴您再次加入我们，看看网络犯罪的肮脏底层，看看我们可以从中学到什么教训。似乎每一次新的辩护 策略，设备或我们创建，购买或借用的Please-Save-Us-As-A-Service，我们的对手同样可以快速适应并找到攻击的新优势。尽管这种情况已经很不幸了，但是当我们甚至不要求他们发展战术时，情况就会变得更糟，因为旧的战术仍然可以正常工作。 无论我们在哪里陷入疯狂安全到不那么安全的频谱，上面的引用都是网络安全(以及一般生活)的良好路线图。这份报告旨在看看事情没有按预期工作的时代——不是指手画脚，而是帮助我们所有人学习和提高。在几乎每个人， 公司和个人都在寻找用更少的钱做更多的事情的方法，我们相信仔细分析我们的防御何时失败可能是非常有益的。虽然大变革的时代总是充满挑战，但它们往往也促使我们评估我们的情况，并在必要时重新调整我们的观点和精力。就是这样 今年DBIR的案子。作为一个团队，我们决定退后一步，回到让我们走到今天的根本问题上，专注于使用我们自己的VERIS框架分析的实际数据泄露。说到VERIS，这种重新聚焦带来的新好处之一是通过与MITREEgeity和威胁情报防御中心（CTID）的合作，在VERIS和MITREATT＆CK之间进行了更好的映射。2这也有助于我们的上级组织 Verizon威胁研究咨询中心(VTRAC)3分享了有史以来最多的漏洞供我们分析。你知道今年是VTRAC成立20周年吗？老板，给我们留一块蛋糕！ 正如长期读者所知，在过去的几年里，我们越来越多地利用非事件数据，通过各种形式的研究和分析，为我们的违规调查结果增加深度和维度。如上所述，尽管这仍然是我们工作的重要组成部分，但我们确实采取了有目的的步骤，以更直接地关注今年房屋的违规方面。简而言之，这样做的结果是使报告更加简洁简洁，不那么笨拙。今年，我们分析了16312起安全事件，其中5199起被确认为数据泄露。与往常一样，我们希望您发现此信息信息丰富，有用，易于理解和可操作。 最后，我们衷心感谢我们的全球数据贡献者，因为如果没有他们，本报告实际上是不可能的。当然，我们的读者也可以这样说，所以请接受我们对您的持续支持的深切谢意。 Sincerely, VerizonDBIR团队 C.DavidHylender,PhilippeLanglois,AlexPinto,SuzanneWidup 特别感谢： –VTRAC的戴夫·肯尼迪和埃里卡·吉福德。 –来自Verizon商业产品数据科学团队的KateKutchko、MarziyehKhanouki和YoniFridman。 –GabrielBassett多年来所有的统计工具，图表和可怕的笑话。祝你下次冒险好运！ 2https://mitre-engenuity.org/网络安全/威胁中心知情防御/ 3https://www.verizon.com/business/resources/reports/verizon-threat-research-advisory-center/ 2023DBIRIntroduction7 调查结果摘要 图5.随着时间的推移，棘手的事件 SocialEngineeringattacksareoftenveryeffectiveandextremelylucrativeforcybercriminals.PerhapsthisiswhyBusinessEmailCompromise(BEC)attacks(whichareinessence 借口攻击)在我们的整个事件数据集中几乎翻了一番， 如图5所示，现在代表了社会工程模式中超过 50%的事件。 74％的违规行为包括人为因素，人们通过错误，特权滥用，使用被盗凭证或社会工程参与其中。 83%的违规行为涉及外部行为者，攻击的主要动机仍然是压倒性的财务驱动，95%的违规行为。 攻击者访问组织的三种主要方式是窃取凭证、网络钓鱼和利用漏洞。 图6.选择键枚举图7.选择非错误、非误用违规中